Autorité de Certification OTU

Transcription

1 Référence du document : OTU.CG.0001 Révision du document : 1.0 Date du document : 24/10/2014 Classification Public Autorité de Certification OTU Conditions générales des services de Certification Conditions générales des services de Certification Page : 1 / 7 Ce document est la propriété de Worldline. Il ne peut être reproduit ou divulgué sans autorisation écrite préalable.

2 Table des matières HISTORIQUE DES REVISIONS DE DOCUMENT OBJET DU DOCUMENT INTRODUCTION REFERENCES CONDITIONS GENERALES DES SERVICES DE CERTIFICATION MEDIACERT OTU... 5 Conditions générales des services de Certification Page: 2 / 7

3 Historique des révisions de document Version Date Auteur Motif /10/2014 J.J. Milhem Version publique initiale Conditions générales des services de Certification Page: 3 / 7

4 1. Objet du document 1.1 Introduction Le présent document est un résumé des dispositions essentielles définies dans la Politique de Certification MediaCert OTU. Dans son contenu, il est conforme à l annexe B2 «The PDS Structure» de la spécification technique [ETSI ]. 1.2 Références Référence [ETSI ] Document Electronic Signatures and Infrastructures (ESI); Policy requirements for certification authorities issuing public key certificates V2.2.1 ( ) Conditions générales des services de Certification Page: 4 / 7

5 2. Conditions générales des services de Certification MediaCert OTU Type d information Contact info Type de certificats, procédure de validation et usages Limites et dépendances Obligations de l Abonné Issu de la Politique de Certification (PC) de l Autorité de Certification MediaCert OTU ayant pour OID : Comité "MediaCert OTU" Worldline 19, rue de la Vallée Maillard B.P Blois Cedex France dlfr-mediacert-ac-otu@atos.net L Autorité de Certification OTU, nommée «AC» dans la suite du document, produit deux types de certificats : Un certificat de personne physique à usage unique permettant de produire une signature électronique de document PDF à la demande d un Abonné. Un certificat d organisation permanent permettant de produire une signature électronique de document PDF par une organisation. La validation de la signature est réalisable à tout moment par l utilisateur de certificat grâce à l utilisation du lecteur de document PDF mis à disposition librement par la Société ADOBE. Les certificats produits ne sont utilisables que pour produire des signatures électroniques de document PDF. Les données archivées sont définies dans le chapitre de la PC. La durée minimum de conservation des archives est de 3 ans. Pour un Certificat de personne physique, l abonné a pour obligation de : Collecter les informations d identité communiquées par le titulaire, Vérifier les informations d identité communiquées par le titulaire Communiquer au titulaire ses obligations, Transmettre dans sa demande les données relatives à l identification du titulaire, Constituer et signer la demande de certificat du titulaire, Garder le contrôle exclusif des moyens d authentification utilisés par le titulaire, Communiquer dans les meilleurs délais à l AC tout évènement pouvant porter atteinte à la qualité de l identification de ses titulaires, Communiquer dans les meilleurs délais à l AC tout évènement pouvant porter atteinte à la fiabilité de ses moyens d authentification Informer le titulaire du processus de demande de certificat et des conséquences de son utilisation (signature électronique) dans le cadre de la PC. Pour un certificat d Organisation l Abonné a pour obligation de : Compléter le dossier de demande de certificat, Informer l AC dans le cas où les données du certificat ne seraient plus valables du fait d un changement au sein de l Organisation, Demander la révocation du certificat dans les cas listés par la PC, Communiquer immédiatement à l AC tout évènement pouvant porter Conditions générales des services de Certification Page: 5 / 7

6 atteinte à la fiabilité de ses moyens d authentification, Informer l AC dans le cas où l Organisation n existerait plus. Dans le cas où l Abonné fait appel à un prestataire technique, il lui appartient de faire respecter ces obligations par ce dernier et de s assurer que des mesures de protections d accès aux secrets détenus par le prestataire sont bien mises en œuvre. Exigences de vérification de la révocation par les utilisateurs de certificats Limites de garantie et de responsabilité Politique de confidentialité Politique d Indemnisation Loi applicable Aucune exigence particulière concernant l obligation de vérification de la révocation d un certificat. L AC garantit via ses services : L'authentification de l Abonné avec son certificat par l AC, La génération de certificats conformément à la demande d un Abonné préalablement authentifié, La mise à disposition des informations de validité des certificats selon la présente PC, Le contrôle exclusif de la clé privée par le Porteur de certificat la destruction de cette même clé à l issu d une session unique d utilisation (cas des certificats à usage unique). Aucune autre garantie n est assurée. L AC ne pourrait en aucun cas être tenu responsable dans le cas d'une faute sur le périmètre d'une entité cliente notamment en cas : D'utilisation d un certificat expiré, D'utilisation d un certificat révoqué, D'utilisation d un certificat dans le cadre d'une application autre que celles décrites au 4.5 de la Politique de Certification. L AC s engage à émettre les certificats conformément à la présente PC ainsi qu à l état de l art et de la technique. Les informations suivantes sont considérées comme confidentielles : Les informations techniques relatives à la sécurité des fonctionnements des modules cryptographiques et les composantes de l Infrastructure de Gestion de Clés (IGC), Les journaux d'évènements de l'ac, Les informations de suivi des interventions techniques, La DPC et les procédures internes d'exploitation, Les rapports d audits. Seules les personnes habilitées par Worldline et ayant le besoin ou l autorisation d en connaître pourront consulter à la demande les informations confidentielles. L autorisation est donnée par le responsable d application de l AC. La délivrance de certificats par l AC est opérée dans le cadre de services plus complets de souscription électronique en ligne. Le contrat cadre signé entre le Client et Worldline ou son mandataire dument habilité précisent les indemnités. En l absence de contrat cadre, les Conditions Générales de Vente de Worldline s appliqueront. La rédaction et l'application de la PC sont conformes à l'état de l'art, aux textes législatifs et réglementaires en vigueur sur le territoire français. Le contrat cadre signé entre le Client et Worldline ou son mandataire dument habilité, précise les dispositions concernant la résolution des conflits. Conditions générales des services de Certification Page: 6 / 7

7 En l absence de contrat cadre, les Conditions Générales de Ventes de Worldline s appliqueront. Le contact habilité pour toute remarque, demande d'information complémentaire, réclamation ou remise de dossier de litige concernant la présente PC est le Responsable Sécurité (RSSI) de Worldline. Déclaration de conformité Protection des données personnelles La Présente PC est conforme à la spécification technique «Electronic Signatures and Infrastructures (ESI) ; Policy requirements for certification authorities issuing public key certificates» [ETSI ] au niveau LCP L Autorité de Certification veille à la protection des données personnelles conformément à la réglementation. La loi n du 6 janvier 1978 relative à l informatique, aux fichiers et aux libertés modifiée par la loi n du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel s applique à tous les documents détenus ou transmis par l AC ou par une des composantes de l IGC. En vertu de la loi, les personnes physiques disposent d un droit d accès, de rectification ou d opposition des données à caractère personnel les concernant. Ce droit peut être exercé auprès du point de contact de l AC. Conditions générales des services de Certification Page: 7 / 7